Bookworm: instalação com arquivos da Microsoft e Kaspersky

Bookworm: um novo cavalo de Troia descoberto pela Palo Alto Networks usa software de segurança instalado no computador do usuário para carregar os arquivos DLL necessários para instalá-lo.trojan

Este novo cavalo de Troia foi nomeado Bookworm pelos pesquisadores de Palo Alto e tem alguma semelhança com o RAT PlugX.

Atualmente, Palo Alto afirma que o Trojan est√° dispon√≠vel apenas na Tail√Ęndia.

Em termos de estrutura interna, o Bookworm parece fazer parte de uma nova tendência ascendente do malware de vertebrados,

As ameaças maliciosas que ele contém iniciam a instalação no computador da vítima em vários estágios para evitar a detecção. Dizem que eles estão usando um servidor C&C remoto (controle e controle) para controlar quais componentes serão carregados no computador da vítima, com base no perfil de destino.

A arquitetura interior do Trojan Bookworm é simples. Muitos arquivos DLL maliciosos são criptografados usando o algoritmo XOR e empilhados em um arquivo Readme.txt.

Esse arquivo Readme.txt funciona com arquivos DLL puramente execut√°veis ‚Äč‚Äče alguns outros de um arquivo RAR de extra√ß√£o autom√°tica, que por sua vez cont√©m o Smart Installer, um aplicativo para criar pacotes de instala√ß√£o.

Quando executado, o instalador aciona o material de extração automática que descarrega o malware do Readme.txt, DLL puro e EXE puro.

Curiosamente, no entanto, ap√≥s concluir o programa de instala√ß√£o, ele inicia automaticamente o EXE limpo que acabou de ser criado. Este arquivo execut√°vel come√ßa a procurar arquivos execut√°veis ‚Äč‚Äčdo Microsoft Malware Protection (MsMpEng.exe) e do Kaspersky Anti-Virus (ushata.exe).

Quando os detecta, carrega os arquivos DLL limpos nesses execut√°veis ‚Äč‚Äče usa os direitos desses aplicativos para serem instalados como um servi√ßo da Microsoft.

O mesmo acontece com o leitor ávido. possui todos os direitos necessários para executar todos os módulos no arquivo readme.txt e começa a se comunicar com o servidor C&C, adicionando novos arquivos maliciosos ao enviar dados roubados ao servidor.

Os pesquisadores não dizem quais outros módulos foram encontrados, pois o Bookworm é difícil de analisar, pois usa pelo menos quatro algoritmos de criptografia ao se comunicar com o servidor C&C (RC4, AES, XOR e LZO).

Bookworm